Trend Micro - Securing Your Journey to the Cloud Securing your Journey to the cloud

one site fits all
Вредоносная реклама и атаки «нулевого дня»: старые угрозы подрывают доверие к цепочкам поставок и проверенным практикам

Вредоносная реклама и атаки «нулевого дня»: старые угрозы подрывают доверие к цепочкам поставок и проверенным практикам

В начале 2015 года мы столкнулись с парадоксом: ни одна из значительных угроз не была новой. Все обнаруженные нами схемы и атаки опирались на самые распространенные приемы киберпреступников и при этом были крайне эффективны! Как бы тщательно отдельные пользователи и организации ни реализовывали базовые меры безопасности, простейшие уязвимости все еще представляют для них опасность. Кто бы мог подумать, что онлайн- и мобильная реклама, платежи через Интернет и даже обычные документы Word все еще могут стать причиной таких проблем?


Атаки с использованием онлайн-рекламы подрывают доверие в цепочках поставок

Полное и безоговорочное доверие к сторонним разработчикам и поставщикам услуг подвергает риску пользователей Интернета. С помощью зараженных объявлений киберпреступники внедряют вредоносную программу BEDEP, которая загружает себя автоматически при демонстрации объявлений. Компания Lenovo® невольно способствовала атакам типа Man-in-the-middle («человек посередине»), включив в комплектацию своих бюджетных ноутбуков технологию визуального поиска Superfish, которая ведет себя как реклама. Злоумышленники замаскировали рекламную программу MobiDash (или MDash) в каталоге Google Play™ и использовали ее для показа объявлений, подрывающих безопасность мобильных пользователей.

Такие атаки используют системы онлайн-рекламы и находят уязвимости в цепочках поставок. Это подвергает опасности посетителей сайтов и вредит репутации веб-администраторов.

[Прочтите: Вредоносная реклама — когда онлайн-объявления представляют опасность (англ.)]

Как работает вредоносная реклама


до
после
после
Как работает обычная онлайн-реклама

после
Как работает вредоносная онлайн-реклама

Для обычных людей вредоносные рекламные объявления представляют одну из самых серьезных угроз. Такая реклама способна навредить пользователям больше, чем любая другая угроза, даже если они все делают правильно. Вредоносные рекламные объявления могут затронуть даже тех, кто не нажимает ссылки, устанавливает все исправления для системы безопасности и посещает только надежные сайты. Проще говоря, никакие меры предосторожности не защитят вас от вредоносной рекламы — только везение. — Кристофер Бадд (Christopher Budd), менеджер по глобальным коммуникациям в сфере ИТ-угроз

Вирусы шифровальщики-вымогатели проникают в организации

Количество вирусов шифровальщиков-вымогателей по-прежнему растет. Число заражений выросло в четыре раза — с 1540 в первом квартале 2014 года до 7844 в первом квартале 2015 года. На заражения вирусами шифровальщиками-вымогателями приходится почти половина (49 %) от общего числа обнаруженных программ-вымогателей по данным за прошлый квартал.


Количество заражений программами-вымогателями

Количество вирусов шифровальщиков-вымогателей, по всей видимости, будет расти. Программа-вымогатель — отличный способ мгновенного заработка на вредоносном программном коде. Те же 500 долларов (примерно) с их помощью можно получить гораздо быстрее, не тратя время на создание бот-сети, заражение пользователя, кражу идентификационных данных и вывод денег с банковских счетов. В среднем отдача с каждого заражения программой-вымогателем намного выше.
Джон Оливер (Jon Oliver), старший директор по архитектурам

Примечательно, что рабочие файлы блокируются с целью получения выкупа постоянно. Некоторые разновидности вирусов шифровальщиков-вымогателей содержат подпрограммы, которые нацелены именно на организации. Например, программа CryptoFortress, подражающая приложению TorrentLocker, способна шифровать файлы в сетевых ресурсах, которые широко используются в корпоративных сетях.

В свою очередь, Ransomweb (CRYPWEB) может шифровать веб-сайты и веб-серверы. Хотя такое поведение было замечено еще в прошлом году, появление двух новых образцов подтверждает, что целью вирусов шифровалищиков-вымогателей становятся именно организации.

CRYPAURA, новая разновидность вируса шифровальщика-вымогателя способна шифровать более ста типов файлов. Teslacrypt атакует пользователей онлайн-игр. Вызвав к себе доверие с помощью модели freemium, киберпреступники смогли завлечь игроков в свои сети и совершить нападение.

[Прочтите: Вирусы шифровальщики-вымогатели, наблюдения и тенденции — 1 квартал 2015 года (англ.)]

С учетом роста числа вирусов шифровальщиков-вымогателей и их нацеленности именно на организации, у компаний возникают дополнительные основания для усиления систем резервного копирования и защиты файлов.

[Пройдите тест: Как вы поступите в случае реальной потери данных? (англ.)]




Макровирусы: простая модель для старых угроз против новых пользователей

Знания — это уже половина победы. Постоянный прирост числа макровирусов заставляет новые поколения пользователей изучать старые угрозы, игнорирование которых может дорого обойтись. Макросы автоматизируют повторяющиеся задачи в Microsoft Office® и экономят время, однако в пакете Office 2003 они были по умолчанию отключены, чтобы исключить возможность их использования вредоносными программами.


Количество заражений макровирусами на 1 кв. 2015 г.

С переходом с формата DOC на формат DOCX корпорация Microsoft изменила реализацию макросов в документах Office, но не исключила возможность их исполнения. В прошлом киберпреступники заставляли пользователей запускать вредоносные макросы в документах с помощью социальной инженерии. Сегодня они используют для запуска макросов уязвимости Microsoft Office. — Нумаан Хук (Numaan Huq), старший специалист по угрозам

Обратите внимание: для запуска вредоносной программы пользователь должен активировать макрос. В прошлом квартале киберпреступники рассылали своим жертвам электронные письма с вложениями, для прочтения которых нужно было активировать макросы. В результате загружалось вредоносное ПО для интернет-банкинга VAWTRAK. А вот троянская программа BARTALEX автоматически распространяла себя по пользовательским системам с помощью спам-сообщений и встроенных макросов.

Использование макросов можно рассматривать как попытку злоумышленников обойти традиционные решения для защиты от вредоносных программ. Макросы, используемые в таких угрозах, нередко скрыты: это позволяет им эффективно проходить через фильтры спама и сканеры, которые лучше справляются с поиском выполняемых программ, чем макросов. Макросы, которые можно активировать с помощью командных файлов, также с трудом поддаются обнаружению. Помещение в изолированную среду помогает не всегда, что связано со скрытым характером макросов или тем фактом, что пользователям уже предложили их открыть, не сообщив, что в результате этого действия в системе будет запущена вредоносная программа.


Ошибка FREAK указывает на проблемы с отсутствующими исправлениями для уязвимостей

Уязвимость FREAK пошла по следам ошибок Shellshock, Heartbleed и POODLE, о которых так много писали в прошлом году. FREAK — это ошибка, затрагивающая протокол проверки подлинности TLS/SSL, который используется огромным количеством сайтов и браузеров, включая около 10 % самых популярных доменов, а также браузеры Android и Safari. Этот сбой, получивший название FREAK (Factoring RSA Export Keys), заставляет безопасное подключение применять более слабое шифрование и, таким образом, позволяет киберпреступникам расшифровывать конфиденциальные данные.

Тот факт, что ошибка FREAK существует уже не первое десятилетие и работает на основе кода, написанного много лет назад, лишний раз демонстрирует, какую важную роль играет обнаружение уязвимостей. Отсутствие прямой ответственности за исправление этих ошибок усложняет работу ИТ-администраторов для нейтрализации таких рисков. Подобные проблемы требуют сторонних решений, которые будут независимо и заблаговременно анализировать уязвимости в существующих системах, сокращая период действия риска и предотвращая угрозы.

[Прочтите: Разработка неустаревающей защиты не только для атак «нулевого дня» и традиционных уязвимостей (англ.)]

В прошлом квартале также была обнаружена уязвимость Ghost, связанная с переполнением буфера в операционных системах Linux. К угрозе отнеслись серьезно и уже разработали исправление для этой ошибки, максимально ограничивающее область ее действия.


Основные уязвимости в веб-приложениях, обнаруженные за 1 кв. 2015 г.



СТЕПЕНЬ СЕРЬЕЗНОСТИ:

  • Утечка внутреннего IP-адреса
    Может раскрыть информацию о схеме назначения IP-адресов во внутренней сети.

    Степень серьезности:
    НИЗКАЯ
  • Раскрытие внутреннего пути
    Может указать преступникам на корневые папки и т. д., которые те смогут использовать для создания направленных атак.

    Степень серьезности:
    НИЗКАЯ
  • Раскрытие исходного кода подключаемых файлов
    Позволяет преступникам получить и использовать конфиденциальные алгоритмы приложений, присутствующие в исходных кодах.

    Степень серьезности:
    НИЗКАЯ
  • Индексация каталога
    Заставляет веб-серверы отображать страницу индекса своего виртуального каталога или подкаталога по запросу пользовательского агента.

    Степень серьезности:
    СРЕДНЯЯ
  • Подробные сообщения об ошибках приложений
    Обеспечивает преступникам доступ к конфиденциальной информации, включая внутренние алгоритмы веб-приложений.

    Степень серьезности:
    СРЕДНЯЯ
  • Передача конфиденциальных данных форм без использования SSL
    Позволяет преступникам получать конфиденциальные данные, передаваемые через приложения, которые не используют SSL.

    Степень серьезности:
    СРЕДНЯЯ
  • Непоследовательное межсайтовое выполнение сценариев (XSS)
    Позволяет преступникам внедрять в веб-приложения вредоносные сценарии (обычно на стороне клиента).

    Степень серьезности:
    ВЫСОКАЯ
  • Обход путей
    Использует недостаточную проверку безопасности в веб-приложениях; такие атаки также называют «две точки, косая черта» или «обход каталога».

    Степень серьезности:
    ВЫСОКАЯ
  • Обнаружение возможных конфиденциальных ресурсов
    Позволяет преступникам получать информацию о ресурсах, которая может быть связана или не связана со структурой приложений (старые резервные копии, конфигурация сервера, журнал сервера или базы данных, конфигурация базы данных и т. д.).

    Степень серьезности:
    ВЫСОКАЯ
  • Заражение SQL
    Представляет серьезную угрозу для любого веб-приложения, активно использующего базу данных.

    Степень серьезности:
    КРИТИЧЕСКАЯ






Недавние кибератаки и утечки данных были направлены против платформы iOS и индустрии здравоохранения

В прошлом квартале были обнаружены две заметные тенденции, связанные с целенаправленными атаками и кражей данных: их мишенью стали организации из сферы здравоохранения, а способом проникновения — устройства на базе iOS™.

Злоумышленники организовали кражу медицинских данных у страховых компаний Anthem и Premera Blue Cross. Они выкрали имена, адреса электронной почты и другие личные данные миллионов клиентов и пациентов страховых компаний.


Временная шкала значимых случаев утечки медицинских данных

Местонахождение

Anthem

Страна: США
Потеряно записей: 80 млн
Типы украденной информации: имена, даты рождения, идентификационные номера членов, номера в системе социального страхования, адреса, номера телефонов, адреса электронной почты, информация о трудоустройстве


Premera Blue Cross

Страна: США
* Утечка данных обнаружена в январе 2015 г., но могла произойти еще в мае 2014 г.
Потеряно записей: 11 млн
Типы украденной информации: имена, даты рождения, адреса электронной почты, адреса, номера телефонов, номера в системе социального страхования, идентификационные номера членов, данные банковских счетов, данные о претензиях, клинические данные

2015
Местонахождение

Community Health Systems

Страна: США
Потеряно записей: 4,5 млн
Типы украденной информации: данные о пациентах за пять лет, имена, адреса, номера в системе социального страхования

2014
Местонахождение

Advocate Medical Group

Страна: США
Потеряно записей: 4 млн
Типы украденной информации: имена, адреса, даты рождения, номера в системе социального страхования

2013
Местонахождение

Национальная служба здравоохранения

Страна: Великобритания
Потеряно записей: 8,3 млн
Типы украденной информации: незашифрованные медицинские карты

2011
Местонахождение

Департамент здравоохранения штата Вирджиния

Страна: США
Потеряно записей: 8,3 млн
Типы украденной информации: медицинские карты, рецепты

2009

В рамках операции Pawn Storm миллионы устройств на базе iOS, на которых все еще установлена система iOS 7, подверглись опасности, связанной с работой приложений. Исследователи обнаружили два шпионских приложения, совместимые с iOS 7 и способные использовать ее для слежения. Риск распространялся как на взломанные, так и на невзломанные устройства, поскольку эти приложения можно загрузить с корпоративных ресурсов.

В рамках политически мотивированной кампании Woolen Goldfish, которая продолжила свою работу в прошлом квартале, был атакован ряд государственных и частных израильских и европейских организаций с использованием вредоносного файла, хранящегося в службе Microsoft OneDrive®. Эта операция является одной из двух кампаний преступной группы Rocket Kitten (вторая была связана с вредоносной программой GHOLE).

Объектами кибератак также остаются компании розничной торговли, а количество случаев заражения вредоносными программами для кассовых терминалов продолжает расти. В результате человек, единолично реализовавший кампанию FighterPOS подобной направленности, в период с конца февраля до начала апреля 2015 года украл более 22 000 уникальных кредитных карт.

Старая, но обнаруженная совсем недавно вредоносная программа PwnPOS (существующая, по всей видимости, с 2013 года), использовала приложение, извлекающее информацию из памяти терминалов (т. н. RAM scraper), для поиска данных и подключения к SMTP с целью кражи ценных сведений.


Данные медицинских организаций — своеобразный «святой Грааль» с точки зрения кражи данных. Похитив реквизиты кредитной или дебетовой карты, злоумышленники могут использовать их только до тех пор, пока карта не будет заблокирована. А как заблокировать номер в системе социального страхования? Этого никак не сделать. Данные медицинских организаций могут использоваться для финансового мошенничества больше одного раза, так как преступники открывают на имя пострадавшего один счет за другим. Однако проблема не только в этом. Медицинские сведения позволяют украсть не только ваши идентификационные данные, но и информацию вашей супруги или супруга и детей. Еще одной областью, в которой традиционная тактика совершения преступлений готова уступить место киберпреступности, является шантаж. — Кристофер Бадд (Christopher Budd), менеджер по глобальным коммуникациям в сфере ИТ-угроз

В сети появляются все новые наборы эксплойтов

Наборы эксплойтов, известные своей эффективностью для атак через Интернет, применяются с 2006 года, но за прошедшее время в этот арсенал были добавлены новые технологии. На подпольном рынке такие наборы легко продаются как готовые программы для веб-атак.

По сравнению с аналогичным кварталом прошлого года количество атак с применением наборов эксплойтов увеличилось на 30 %. Чаще всего они осуществляются через такие платформы и приложения, как Java™, Adobe® и Internet Explorer.

Количество новых наборов эксплойтов заметно упало, но даже при этом постоянное использование старых, уже разработанных наборов доказывает, что до конца года и далее количество заражений с их применением будет только расти.

Аналитики угроз Брук Ли и Джозеф Чен также отмечают пугающую тенденцию, говоря о том, что уязвимости нулевого дня теперь включаются прямо во вредоносные рекламные объявления, а не используются для целенаправленных атак на предприятия и другие крупные организации, как это было раньше.

[Прочтите: Наборы эксплойтов и вредоносная реклама — тревожная комбинация (англ.)]


Страны, страдающие от атак с применением наборов эксплойтов больше всего


Неудивительно, что атаки с применением наборов эксплойтов набирают обороты даже после того, как в конце 2013 года был нейтрализован набор Blackhole (BHEK). Основная причина увеличения популярности таких наборов — возможность их использования в сочетании с вредоносной рекламой. Это позволяет злоумышленникам перехватывать посетителей таких популярных веб-сайтов, как YouTube, и использовать для маскировки рекламные сети. — Джозеф Чен (Joseph Chen), аналитик угроз

Критические уязвимости веб-приложений, основные точки проникновения

Уязвимости в веб-приложениях требуют исправления точно так же, как и уязвимости на стороне клиента или сервера, так как они могут стать точками проникновения для злоумышленников. Веб-приложения способны обрабатывать важные данные и сохранять их в серверной базе, защита которой может быть недостаточной.

Организации часто подвергаются атакам с использованием уязвимостей популярной платформы PHP — почти все они связаны с серверами. Такие уязвимости оцениваются как серьезные и критические и в последних версиях платформы были исправлены.

Многие веб-приложения больше всего подвержены периодическому межсайтовому выполнению сценариев (XSS) (PDF/англ.) — серьезной уязвимости, с помощью которой злоумышленники могут получить доступ к учетным записям пользователей, если те посетят специальный URL-адрес. В число других критических уязвимостей для веб-приложений входят внедрение SQL-кода, т. е. атаки, запускающие вредоносные SQL-операторы для получения доступа к сайтам, и перехват управления ОС — атаки, выполняющие команды на уровне системы.


СИТУАЦИЯ В ОБЛАСТИ УГРОЗ

Только за первый квартал 2015 года инфраструктура Trend Micro Smart Protection Network™ заблокировала в общей сложности 14 006 002 252 (то есть более 14 миллиардов) угроз.

Общее количество заблокированных угроз

1 кв. 2015 г.

Скорость обнаружения (количество угроз, блокируемых каждую секунду)

1 кв. 2015 г.

Из них тремя основными семействами вредоносных программ в прошлом квартале стали SALITY (85 тыс.), DOWNAD/ CONFICKER (83 тыс.) и KRYPTIK (71 тыс.). Программы SALITY известны тем, что наносят критический ущерб, распространяя зараженные файлы EXE и SCR. Программы DOWNAD/CONFICKER прославились активной эксплуатацией уязвимостей и быстрым распространением. Программы KRYPTIK относятся к троянским коням и в последнее время использовались для совершения атак в период подачи налоговых деклараций.

   

Основные семейства вредоносных программ

* По числу угроз, обнаруженных на ПК

На первый квартал количество вредоносных и связанных с высоким риском приложений Android составило 5 395 718 (примерно 5,4 миллиона), что на 27 % больше, чем в четвертом квартале 2014 года (4,3 миллиона). Около половины их этих приложений являются рекламными, т. е. отображают рекламный контент без согласия пользователей.


ЗАГРУЗИТЬ ПОЛНЫЙ ОТЧЕТ (PDF)